El apartado «5.7.4 Firma electrónica [mp.info.4]» del Anexo II de ENS se corresponde con el apartado «3.6.2. Firma electrónica [Mp.info.4]» del Anexo II de EJIS.
En el ENS, los aspectos de seguridad de la firma electrónica se recogen de la siguiente forma:
[mp.info.4].
|
dimensiones |
I – A |
||
|
nivel |
bajo |
medio |
alto |
|
aplica |
+ |
++ |
|
La firma electrónica es un mecanismo de prevención del repudio; es decir, previene frente a la posibilidad de que en el futuro el signatario pudiera desdecirse de la información firmada.
La firma electrónica garantiza la autenticidad del signatario y la integridad del contenido.
Cuando se emplee firma electrónica:
a) El signatario será la parte que se hace responsable de la información, en la medida de sus atribuciones.
b) Se dispondrá de una Política de Firma Electrónica, aprobada por el órgano superior competente que corresponda.
Nivel BAJO
Se empleará cualquier medio de firma electrónica de los previstos en la legislación vigente.
Nivel MEDIO
1. Los medios utilizados en la firma electrónica serán proporcionados a la calificación de la información tratada. En todo caso:
- Se emplearán algoritmos acreditados por el Centro Criptológico Nacional.
- Se emplearán, preferentemente, certificados reconocidos.
- Se emplearán, preferentemente, dispositivos seguros de firma.
2. Se garantizará la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquélla soporte, sin perjuicio de que se pueda ampliar este período de acuerdo con lo que establezca la política de firma electrónica y de certificados que sea de aplicación. Para tal fin:
a) Se adjuntará a la firma, o se referenciará, toda la información pertinente para su verificación y validación:
1.º Certificados.
2.º Datos de verificación y validación.
b) Se protegerán la firma y la información mencionada en el apartado anterior con un sello de tiempo.
c) El organismo que recabe documentos firmados por el administrado verificará y validará la firma recibida en el momento de la recepción, anexando o referenciando sin ambigüedad la información descrita en los epígrafes a) y b).
d) La firma electrónica de documentos por parte de la Administración anexará o referenciará sin ambigüedad la información descrita en los epígrafes a) y b).
Nivel ALTO
Se aplicarán las medidas de seguridad referentes a firma electrónica exigibles en la nivel Medio, además de las siguientes:
- Se usarán certificados reconocidos.
- Se usarán dispositivos seguros de creación de firma.
- Se emplearán, preferentemente, productos certificados [op.pl.5].
En cambio, en el EJIS (Esquema Judicial de Interoperabilidad y Seguridad), el tratamiento es diferente:
[mp.info.4].
|
dimensiones |
I – A – Cs |
||
|
nivel |
bajo |
medio |
alto |
|
aplica |
+ |
++ |
|
Se empleará la firma electrónica como un instrumento capaz de permitir la comprobación de la vinculación entre el firmante y el contenido firmado, y de establecer la presunción de que existió intención de firmar, es decir, prestación del consentimiento en el sentido que se determine por el contexto (por ejemplo conformidad en recibir una notificación aunque no haya conformidad respecto al contenido de la notificación).
Asimismo la firma electrónica debe permitir detectar modificaciones del contenido firmado si se producen.
NIVEL BAJO
Se empleará cualquier tipo de firma electrónica de los previstos en la legislación vigente.
NIVEL MEDIO
Se emplearán sistemas de firma electrónica avanzada.
Cuando se empleen sistemas de firma basados en certificados, estos serán preferentemente cualificados, según lo dispuesto en el Reglamento europeo UE 910/2014, de 23 de julio, y las normas técnicas publicadas en su desarrollo.
Cuando se reciban firmas basadas en certificados se comprobará su validez tan pronto como sea posible y, una vez bajo la custodia del sistema de gestión procesal se considerarán válidas indefinidamente sin ulteriores comprobaciones tecnológicas. Para ello se adjuntará a la firma, o se referenciará, toda la información pertinente para su fechado, verificación, validación y comprobación de la confiabilidad del prestador de servicios de confianza digital que expidió el certificado.
Cuando se emitan firmas basadas en certificados se incluirá en la firma la información del momento en que se han completado los procesos técnicos básicos de la firma y la información sobre su validez tan pronto como sea posible y, una vez bajo la custodia del sistema de gestión procesal se considerarán válidas indefinidamente sin ulteriores comprobaciones tecnológicas. Solo se usarán certificados expedidos por prestadores de servicios de confianza digital que figuren en la lista TSL de la Unión Europea (según lo dispuesto en el artículo 22 del Reglamento europeo 910/2014, de 23 de julio) y simultáneamente en la lista AATL cuando los documentos se firmen sobre el formato PDF.
Cuando se empleen sistemas de firma electrónica avanzada no basados en certificado se deberá garantizar el cumplimiento de los requisitos del artículo 26 del Reglamento europeo UE 910/2014, de 23 de julio y que los datos de creación de firma están cifrados, salvo puntualmente en caso de prueba pericial y solo si para realizarla fuera preciso que el perito accediera a dichos datos.
NIVEL ALTO
Se aplicarán las medidas de seguridad referentes a firma electrónica exigibles en el nivel Medio, además de las siguientes:
- Cuando las firmas se basen en certificados, se usarán certificados cualificados y dispositivos cualificados de creación de firma.
- Se emplearán, preferentemente, productos certificados según lo indicado en [op.pl.5].
Todo es electrónico 
Bueno el repudio, lo pueden fácil solucionar con sellos de tiempo, lo que me mosquea es la forma en que lo dice: «ofreciendo las bases para evitar el repudio» es como si lo dejara en el aire…para admitir otro método?
Estoy documentándome para un tema propio y me doy cuenta de la exuberancia normativa!!, y encontré su página…espero leerle..
¿ETSI TS 119 312 se aplica a cualquier firma electrónica en el espacio europeo o su ámbito es limitado?
Respecto al repudio, lo que quería decir es que no existe como concepto jurídico en relación con las firmas.
En su lugar se emplea el concepto de presunción de atribuibilidad.
Efectivamente, tras la modificación introducida por el Real Decreto 951/2015, de 23 de octubre, el texto ha quedado como indicas. El texto anterior era el del Real Decreto 3/2010, de 8 de enero. Aun y todo, la definición y categorización usada en el ámbito de la Justicia, es diferente.
En el ENS actualizado se sigue haciendo mención al repudio en relación con la firma electrónica, lo que no es un concepto jurídco aplicable a las firmas.
Los requisitos de algoritmos no pueden depender del CCN ya que están armonizados por el Reglamento EIDAS en su normativa técnica ETSI TS 119 312.
La verificabilidad futura de las firmas una vez incorporadas a la custodia del sistema de gestión procesal no depende de resellados de tiempo sucesivos sino de que se recopilen las evidencias electrónicas de su valiez en el momento de inicio de la custodia.
Hola el 5.7.4 Firma electrónica [mp.info.4]” del Anexo II de ENS
no dice eso, quizá usted usó el borrador del proyecto…
puede compararlo con lo publicado en BOE
esto dice el boe:
»
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica
Ministerio de la Presidencia
«BOE» núm. 25, de 29 de enero de 2010
Última modificación: 4 de noviembre de 2015
Referencia: BOE-A-2010-1330
…..
5.7.4 Firma electrónica [mp.info.4].
dimensiones
I A
nivel
bajo
medio
alto
aplica
+
++
Se empleará la firma electrónica como un instrumento capaz de permitir la comprobación de la autenticidad de la procedencia y la integridad de la información ofreciendo las bases para evitar el repudio.
La integridad y la autenticidad de los documentos se garantizarán por medio de firmas electrónicas con los condicionantes que se describen a continuación, proporcionados a los niveles de seguridad requeridos por el sistema.
En el caso de que se utilicen otros mecanismos de firma electrónica sujetos a derecho, el sistema debe incorporar medidas compensatorias suficientes que ofrezcan garantías equivalentes o superiores en lo relativo a prevención del repudio, usando el procedimiento previsto en el punto 5 del artículo 27.
Nivel BAJO
Se empleará cualquier tipo de firma electrónica de los previstos en la legislación vigente.
Nivel MEDIO
a) Cuando se empleen sistemas de firma electrónica avanzada basados en certificados, estos serán cualificados.
b) Se emplearán algoritmos y parámetros acreditados por el Centro Criptológico Nacional.
c) Se garantizará la verificación y validación de la firma electrónica durante el tiempo requerido por la actividad administrativa que aquélla soporte, sin perjuicio de que se pueda ampliar este período de acuerdo con lo que establezca la Política de Firma Electrónica y de Certificados que sea de aplicación. Para tal fin:
d) Se adjuntará a la firma, o se referenciará, toda la información pertinente para su verificación y validación:
1. Certificados.
2. Datos de verificación y validación.
e) El organismo que recabe documentos firmados por el administrado verificará y validará la firma recibida en el momento de la recepción, anexando o referenciando sin ambigüedad la información descrita en los epígrafes 1 y 2 del apartado d).
f) La firma electrónica de documentos por parte de la Administración anexará o referenciará sin ambigüedad la información descrita en los epígrafes 1 y 2.
Nivel ALTO
1. Se usará firma electrónica cualificada, incorporando certificados cualificados y dispositivos cualificados de creación de firma.
2. Se emplearán productos certificados conforme a lo establecido en [op.pl.5].
….»
Un Saludo